隐私安全

多数金融企业信息安全管理不严 应急处置能力不足

编辑/作者:安安 2020-06-11 我要评论

补齐短板强化金融隐私保护 多数金融企业信息安全管理不严格应急处置能力明显不足 ● 目前我国金融隐私泄露的主要类型包括银行数据泄露、保险数据泄露、其他平台金...

  补齐短板强化金融隐私保护

  多数金融企业信息安全管理不严格应急处置能力明显不足

  ● 目前我国金融隐私泄露的主要类型包括银行数据泄露、保险数据泄露、其他平台金融数据泄露、网贷业务及大数据风控乱象

  ● 金融隐私信息买卖的市场需求巨大、经济利益丰厚,不法分子为了牟利,建立起完整的用户信息非法交易的黑色产业链条

  ● 对标国际金融隐私保护的法律制度体系,尽快出台符合我国国情的专门金融隐私保护法律法规,补齐法律短板,推进金融隐私信息的专门化、系统化保护

  □ 本报记者   赵 丽

  □ 本报实习生 郭元桥

  近年来,我国金融产品和服务日趋丰富,在为金融消费者带来便利的同时,金融消费纠纷频发等问题也日益凸显,金融消费者保护成为全社会关注的话题。

  值得注意的是,传统金融行业互联网化进程中,大数据、人工智能、移动互联网、物联网及区块链等新技术的应用,在推动金融产业创新、增加便民性、提升工作效率的同时,也给金融用户隐私保护带来了新风险与新挑战。近些年,金融用户隐私泄露事件及侵犯公民个人信息违法犯罪频频发生,不但直接损害金融用户的利益,扰乱金融市场秩序,甚至可能带来系统性金融风险和引发群体性事件。

  5月27日,国务院金融稳定发展委员会办公室发布消息称,将于近期推出11项金融改革措施,在加强金融违法行为行政处罚方面,提出出台《加强金融违法行为行政处罚的意见》,切实保护金融消费者合法权益。

  同时,政府工作报告在今年发展主要目标和下一阶段工作总体部署中也提到,要加强重大风险防控,坚决守住不发生系统性风险底线。

  网贷风控乱象百出

  金融隐私泄露频繁

  近期,江苏淮安警方发现,网络上多个QQ账号可付费查询公民个人信息。经查,犯罪团伙已形成规模化黑色产业链,民警奔赴9省12市,抓获26名嫌疑人,涉案金额2000多万元。其中,某银行工作人员丁某仅靠帮忙查询银行卡信息,一年黑色收入超30万元。丁某在接受警方讯问时表示,“我真不知道这是违法的”。

  银行卡信息不仅属于个人隐私,而且是隐私信息中极为“敏感”的一项。对此,业内人士表示,这样的黑色产业链,不仅侵犯了公民个人权利,也直接危害到金融体系运行的安全性。

  涉及消费者个人隐私以及金融信息泄露的侵权行为也让消费者颇为不满。

  来自上海的赵女士称,前段时间申请按揭贷款险些被拒贷,银行给出的理由是她曾经连续多次查询个人征信,有骗贷嫌疑。后来查询详细的征信报告才知道,她在几个网站办理业务时自动签订了“征信授权书”,由于这些业务条款是格式条款,当时没有仔细阅读便选择了同意。

  还有消费者说,自从在某保险公司买了保险后,就不断接到保险以及信用卡推销电话。“对方知道我的姓名、住址等信息,细问之下还能说出我买过什么保险,基本可以确定是保险公司泄露的信息。”

  有银行员工透露说,银行、保险机构的一些合约上会有类似“乙方同意甲方将其个人资料披露给甲方认为必需的第三方”的格式条款。由于“必需的第三方”没有明确定义,遇到这类情况,对方是否侵权很难界定;由于是格式条款,即便签约时看到,消费者也只能表示同意,没有自主选择权。

  根据中国互联网协会发布的《网民权益保护调查报告》,78.2%的网民的个人身份信息、63.4%的网民的网络金融交易记录曾被泄露过。近年来,每年发生金融隐私泄露事件大约以35%的速度在增长,有公开报道或记录2016年1093起,2017年1511起,2018年1967起,2019年2300多起。

  在中国人民公安大学“网络空间安全与法治协同创新中心”联合“江苏通付盾科技有限公司”针对金融隐私保护问题发布的《金融隐私保护问题分析及对策》中,提到目前我国金融隐私泄露的四个类型:

  一是银行数据泄露;二是保险数据泄露;三是其他平台金融数据泄露;四是网贷业务及大数据风控乱象。

  在中国人民公安大学网络空间安全与法治协同创新中心秘书长杜彦辉看来,网贷业务是金融隐私泄露问题的主要根源之一。大量的网贷业务需求和尚不完善的个人征信体系滋生了大量民间风控机构,很多互联网公司、大数据公司纷纷布局征信行业。但是,在央行获批个人征信牌照的机构仅有百行征信1家,远远满足不了民间网贷的需求。在工商以从事个人征信业务注册的公司多达数千家,这些公司为开展风控业务,使用非法爬取、采集、交换等方式获取或骗取公民身份类、位置类、征信类甚至通信类信息。有的公司在开展风控业务的同时,还开展催收业务,其中不乏一些大型互联网企业。此外,网贷行业还滋生出套路贷、校园贷的犯罪产业,套路贷团伙的风控业务也通过数据的层层买卖交换和这些数据风控公司发生合作交集。

  信息查询潜规则多

  监管体系亟须完善

  一系列涉及个人金融信息安全事件的出现,给从业机构敲响了警钟。

  近年来,监管部门严格监管银行客户信息安全管理,罚单不断。一些违规泄露客户信息的员工,不仅遭终身禁业,还会受到法律严惩。

  “正因为如此,不存在大规模数据泄露或导出售卖的可能性。但不可否认,依然存在个别通过‘走后门’的关系进行信息查询,或者由于员工操作不当导致系统信息出现泄露的情况。”某城商行高管如是说。

  对于其中的“潜规则”,《金融隐私保护问题分析及对策》也进行了披露。金融隐私信息买卖的市场需求巨大、经济利益丰厚,不法分子为了牟利,建立起完整的用户信息非法交易的黑色产业链条。在这些非法交易产业链上,部分买家来自保险公司、P2P等金融类机构,卖家则多来自银行、软件企业、电子商务企业、咨询公司、调研机构等不同行业的企业,以及从事网络黑产的“黑客”等。同时,国内的多数金融企业没有充分认识到金融信息安全威胁及危害的严重性,存在信息安全管理不严格、金融产品开发与信息安全保护不同步、金融企业的应急处置能力明显不足等问题。此外,还有不少金融企业在金融信息安全保护方面存在数据分布零散化、未能实现集中管理、未能建立形成常态化数据风险管控机制等问题。

  河南工业大学知识产权研究中心主任李文江曾对郑州商业银行300位客户经理进行问卷调查,2018年在《我国商业银行客户信息的秘密性及其保护》一文中公布了结果:“60%以上的客户经理所在银行没有建立客户信息保密制度,不了解客户信息的范围;70%的客户经理认为所在银行的客户信息保密制度过于原则,没有覆盖客户信息收集、整理、提升和使用的各个环节;90%的客户经理认为客户信息主要掌握在客户经理手里,所在银行没有规定统一保护措施,工作调动时可以随意带走客户信息,不存在任何制约措施。”

  对此,中国人民公安大学网络空间安全与法治协同创新中心研究员芦天亮建议,规范金融隐私信息的保护管理规定,细化日常操作流程、应急处理流程和预案,完善内部检查及监督机制。严格金融隐私数据的收集、存储和使用的要求,收集隐私信息遵循最小化原则。建立金融隐私信息的安全评估制度,定期进行安全风险评估和检查,及时调整安全防护策略和措施。同时成立专门金融隐私监督机构或归口指定相关职能机构,专职负责全国金融产业隐私信息的安全监管。创新监管模式,由以往事中、事后监管积极向事前监管转换。进一步明确金融企业保护金融隐私的责任和义务,督导金融企业加强金融隐私保护的建设和投入,进一步严密金融隐私保护制度和措施。

  加快补齐法律短板

  系统保护金融隐私

  近年来,金融监管部门不断加大对金融消费者权益保护工作力度,规范和引导金融机构提供金融产品和服务的行为。比如,去年12月底,中国人民银行公布了2016年制定的《金融消费者权益保护实施办法》修订后的征求意见稿。此外,央行等四部门联合发布《关于进一步规范金融营销宣传行为的通知》,自今年1月25日起正式施行。

  即使如此,杜彦辉认为,目前我国尚未形成严谨的金融隐私保护法律体系,尚未有专门金融隐私保护法律法规,而且已有的法律法规流于原则性保护,针对各机构和平台主要以行政处罚为主。因为立法上的不完善,司法过程中不能够行之有效地解决问题,致使现阶段少数金融企业或不法分子无所顾忌,对客户金融隐私权一次又一次地进行侵犯。

  今年全国两会上,多位全国人大代表建议加快金融消费者权益保护立法进程,并对现行的金融监管法规进行修订完善。

  全国人大代表、中国人民银行参事周振海建议,通过制定《金融消费者权益保护条例》的方式,完善我国金融消费者权益保护领域立法,以此提高金融消费权益保护的立法层次。在立法层面做出某些特殊制度安排,例如建立监管协作机制、引入金融消费公益诉讼制度、确立金融消费纠纷多元化解决机制等。

  全国人大代表、中国人民银行郑州中心支行行长徐诺金表示,应建立金融消费者保护机制,将存款人保护条款拓展为金融消费者保护条款,实现对金融产品和服务对象的平等保护。

  为此,芦天亮建议,对标国际金融隐私保护的法律制度体系,尽快出台符合我国国情的专门金融隐私保护法律法规,补齐法律短板,推进金融隐私信息的专门化、系统化保护。结合金融互联网化的发展趋势和特点,在法律层面上更加全面准确地界定金融隐私信息的定义及内涵,明确其法律地位、权利属性以及金融企业、金融用户等不同主体在收集使用等过程中所要遵循的原则。细化金融企业、相关网络运营商、服务商、金融企业客户、普通民众等在金融隐私保护方面的责任义务,明确追责的内容和规定条款,使金融隐私保护切实做到有法可依、有法必依。

  中央财经大学法学院教授邓建鹏也认为,目前,我国还没有形成一部专门的数据法,只有与数据相关的法律法规,确实存在政出多门的状态。而这种状态也与公民个人信息的复杂性有关,若干个有权力的部门会根据其职权来规定如何保护公民个人信息和个人数据。

  制图/李晓军

文章来源:法制日报

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 工信部通报下架26款APP 包含吉祥航空旗下九元航

    工信部通报下架26款APP 包含吉祥航空旗下九元航

  • 德国通过《信息技术安全法》修订草案 建立统一

    德国通过《信息技术安全法》修订草案 建立统一

  • 当心!这17款App正在偷窥你的隐私

    当心!这17款App正在偷窥你的隐私

  • 以人脸识别为代表的新技术滥用 须用"猛药"来

    以人脸识别为代表的新技术滥用 须用"猛药"来